| ผู้เขียน | ดร.เจษฎา ศิวรักษ์ หัวหน้าฝ่ายรัฐกิจและธุรกิจสัมพันธ์ บริษัทอิริคสันประเทศไทย |
|---|
คิดเห็นแชร์ : เครื่องมือสุดไฮเทค
ภัยคุกคามต่อความมั่นคงประเทศในยุคดิจิทัล
ในช่วงเวลาที่ผ่านมาเราได้ให้ความสนใจในเรื่องความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) เป็นอย่างมาก มีการออกกฎหมายมาทั้ง พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.การคุ้มครองส่วนบุคคล โดยให้ความสนใจต่อโครงข่ายที่สำคัญทางสารสนเทศมาระยะเวลาหนึ่งแล้ว ทั้งนี้ การโจมตี, การรั่วไหลของข้อมูลทั้งที่อยู่ในรูปแบบดิจิทัลและไม่ใช่ดิจิทัล รวมทั้งการทำอาชญากรรมทางไซเบอร์ไม่ได้ลดน้อยลง นำมาสู่การขยายแนวความคิดเรื่องการรักษาความมั่นคงปลอดภัยในยุคดิจิทัลเพียงแค่ Cyber Security อาจไม่เพียงพอ อาจต้องมีการขยายไปสู่ความมั่นคงปลอดภัยของข้อมูล (Information Security) หลากหลายองค์กรมีข้อมูลที่การจัดเก็บทั้งในรูปแบบดิจิทัลและไม่ใช่ดิจิทัล
ข้อมูลเหล่านี้นับได้ว่าเป็นสินทรัพย์ล้ำค่าขององค์กร ข้อมูลเหล่านี้อาจเป็นสิทธิบัตร, ความลับทางการค้าในการสร้างความแตกต่างกับคู่แข่ง, ฐานข้อมูลลูกค้า ฯลฯ แน่นอนข้อมูลเหล่านี้หลุดออกไป ย่อมสร้างความเสียหายในหลายด้านต่อองค์กรได้ ทั้งความเสียเปรียบในการแข่งขัน ความเชื่อมั่นต่อลูกค้า หรือชื่อเสียงขององค์กร ดังนั้น องค์กรจำเป็นจะต้องการบุคคลในทุกตำแหน่งที่จำเป็นต้องมีการระมัดระวังต่อความปลอดภัยของข้อมูลขององค์กร ซึ่งอาจจะเป็นเรื่องความปลอดภัยของข้อมูลในสินค้าและบริการ (Product Security) และความปลอดภัยในเรื่องการปฏิบัติ การติดตั้งการดูแลรักษา (Enterprise Security) เช่น บางองค์กร อาจจะใช้เครี่องมือที่มีความปลอดภัยมาตรฐานสูงเชื่อถือได้ แต่พนักงานที่ติดตั้ง ดูแลรักษามีประวัติอาชญากรรมไซเบอร์ และเมื่อมีการตรวจพบย่อมสร้างผลเสียกับองค์กร หรือการที่พนักงานองค์กรที่มักจะให้การรหัสการเข้าถึงกับเพื่อนร่วมงานที่ไว้ใจเพื่อจะได้เข้าถึงข้อมูลที่สำคัญขององค์กร อาจเป็นเหตุให้มีการรั่วไหลของข้อมูลที่สำคัญเนื่องจากพนักงานขาดทักษะในเรื่องการรักษาความมั่นคงปลอดภัยของข้อมูลองค์กร
โดยในบทความนี้ ผู้เขียนอยากจะเน้นถึงความมั่นคงปลอดภัยของอุปกรณ์ต่างๆ ในยุคดิจิทัล (Product Security) โดยเฉพาะอย่างยิ่งผลิตภัณฑ์ที่มีความเชื่อมโยงกับโครงข่ายสารสนเทศที่สำคัญของประเทศ เช่น อุปกรณ์ทางการแพทย์ อุปกรณ์ในโรงงานอุตสาหกรรม หรือยานพาหนะต่างๆ ที่มีการเชื่อมโยงกับโครงข่าย โดยปัจจุบันนี้เราแทบจะเป็นประเทศนำเข้าอุปกรณ์เหล่านี้เกือบทั้งหมด หรืออาจจะมีการประกอบผลิตภัณฑ์เหล่านี้ในประเทศ แต่ไม่ได้ลงลึกถึงการออกแบบส่วนของการเชื่อมโยงระบบสารสนเทศ
พูดอีกอย่างหนึ่งคืออุปกรณ์ในยุคดิจิทัลเหล่านี้ ท่านมั่นใจได้อย่างไรว่าไม่มีการติดชิปสอดแนม หรือมีการเขียนโค้ดในการดีดข้อมูลออกไปยังต่างประเทศ หน่วยงานต่างๆ ในประเทศที่มีหน้าที่อนุญาตให้นำเข้าอุปกรณ์เหล่านี้ หรือประกอบอุปกรณ์เหล่านี้ มีข้อบังคับ หรือระเบียบใดบ้างที่เข้าไปดูแลตรวจสอบอุปกรณ์เหล่านี้ในเรื่องความมั่นคงปลอดภัยข้อมูลสารสนเทศ? ท่านคงพอมีคำตอบในใจว่าจำเป็นด้วยหรือที่เราจะต้องสนในเรื่องเหล่านี้ ทุกวันนี้ข้อมูลส่วนบุคคลเราก็น่าจะมีใครเอาไปอยู่แล้ว ถ้าท่านสนใจแต่เรื่องราคาของอุปกรณ์ และความทันสมัยของอุปกรณ์ ไม่ได้สนใจการรั่วไหลของข้อมูลอาจจะนำมาซึ่งความเสี่ยงของความมั่นคงประเทศได้ในอนาคต เช่น ข้อมูลสุขภาพของคนไทยส่วนใหญ่ถ้าไหลไปอยู่ในองค์กรใดองค์กรหนึ่งมากพอที่เขาจะทำผลิตภัณฑ์บางอย่างที่ทำให้ตรงโรคกับคนไทย (ในเรื่องข้อมูลสุขภาพของคนไทยน่าเป็นห่วงเพราะไม่ใช่แต่เรื่องอุปกรณ์เพียงอย่างเดียว การจัดเก็บข้อมูลก็อยู่ในสภาพความเสี่ยง เมื่อเทียบกับประเทศเพื่อนบ้าน เช่น มาเลเซีย มีการตระหนักถึงเรื่องนี้เป็นอย่างมาก ถ้าอย่างไรในโอกาสหน้าผู้เขียนจะได้นำเสนอเรื่องนี้ต่อไป) หรือกรณีข้อมูลเกี่ยวกับการขับรถของคนไทย อาจนำมาซึ่งการได้เปรียบในการใช้ข้อมูล แข่งกับบริษัทคนไทย เช่น ธุรกิจประกัน
ในขณะนี้หลายประเทศได้มีการพัฒนากฎระเบียบเรื่องความมั่นคงปลอดภัยของผลิตภัณฑ์ เช่น สหราชอาณาจักร ได้ออกกฎหมาย PSTI act 2022 (Product Security and Telecommunications Infrastructure) ทั้งนี้ ด้วยเจตจำนงที่จะปกป้องประชากรและธุรกิจจากการละเลยเรื่องความปลอดภัยของผลิตภัณฑ์ที่อยู่ภายใต้เทคโนโลยีดิจิทัลต่าง เช่น IoT หรืออุปกรณ์ Smart Devices ที่มีลูกเล่นซับซ้อนต่างๆ มากมาย จะต้องมีกระบวนการสร้างความมั่นใจที่จะใช้ผลิตภัณฑ์เหล่านี้ในระบบสื่อสารของสหราชอาณาจักร เช่น ต้องมีการทำให้มั่นใจตั้งแต่การออกแบบผลิตภัณฑ์ Security by Design จะบังคับให้โรงงานผู้ผลิตอุปกรณ์ไฮเทคเหล่านี้ ถึงข้อมูลที่แสดงความโปร่งใสของอุปกรณ์ ก่อนจะนำมาจำหน่าย โดยกฎหมายนี้มีผลในวันที่ 24 เมษายนปีนี้ ผู้ผลิตอุปกรณ์ที่เป็น IoT หรือ
อุปกรณ์สมาร์ทต่างๆ จะต้องปฏิบัติตามมาตรฐานความมั่นคงของอุปกรณ์ IoT หรือตามมาตรฐาน ETST EN 303 645 โดยทั้งนี้เรื่องเดียวกันนี้ได้มีการใส่ในเรื่องของ General Product Safety Regulation (GPSR 2023/288) ของสหภาพยุโรป คาดหมายว่าจะมีการใช้นำมาแทนที่ General Product Safety Directive (GPSD 2001/95) ในวันที่ 13 ธันวาคม ปี 2567 นี้ โดยหนึ่งในสาระสำคัญของกฎหมายฉบับนี้จะมีส่วนที่เกี่ยวกับผลิตภัณฑ์ในยุคดิจิทัล ทั้งเรื่องการสื่อสาร, AI และความมั่นคงปลอดภัยไซเบอร์ ทั้งนี้ กฎหมาย PSTI ได้ออกแบบมาให้สอดคล้องกับกฎหมายที่จะออกมาหรือมีอยู่ในปัจจุบันในนานาชาติเช่น NIS2 ในสหรัฐ กฎหมายความมั่นคงปลอดภัยไซเบอร์ของสิงคโปร์ หรือ Digital Charter Implementation Act ของแคนาดา
ในปัจจุบันหน่วยงานที่กำกับดูแลเรื่องการนำเข้าอุปกรณ์หรือสร้างอุปกรณ์ที่มีการใช้เทคโนโลยีขั้นสูง ยังไม่ได้ให้ความสำคัญในเรื่องความมั่นคงปลอดภัยของข้อมูลสารสนเทศจากอุปกรณ์เหล่านี้ รวมทั้งอุปกรณ์ทางด้านโครงข่ายโทรคมนาคม ทั้งนี้ การนำเข้าอุปกรณ์เหล่านี้พิจารณาเฉพาะความปลอดภัยทางไฟฟ้าหรือแค่ตรงมาตรฐานทางเทคนิคทางโทรคมนาคมเท่านั้น โดยผลกระทบต่อประเทศไทยอาจเกิดขึ้นได้ทั้งในแง่อุปกรณ์ที่มีขายมีจำหน่ายในเมืองไทยอาจไม่ได้รับการยอมรับในการใช้งานของโครงข่ายในต่างประเทศ หรือการเป็นโรงงานประกอบอุปกรณ์ที่มีการใช้เทคโนโลยีดิจิทัล อาจถูกปฏิเสธในการส่งออก ไปยังประเทศที่มีกฎหมายในเรื่องนี้ ปัจจัยการให้ความสำคัญต่อการออกกฎหรือระเบียบในส่วนของ Product Security ทั้งอุปกรณ์ปลายทางและอุปกรณ์โครงข่าย
นอกจากสร้างความมั่นใจให้กับผู้บริโภค ความมั่นคงของชาติ ว่าข้อมูลสำคัญของคนไทยไม่ได้รั่วไหลออกไป และเป็นการสร้างความเชื่อมั่นกับการเชื่อมโยงข้อมูลที่สำคัญกับโครงข่ายประเทศไทยได้
